Integrace Azure VMware Solution do architektury centra a paprsku

  • Článek
  • 6 min ke čtení

Tento článek obsahuje doporučení pro integraci nasazení Azure VMware Solution v existující nebo nové architektuře centra a paprsku v Azure.

Scénář centra a paprsku předpokládá hybridní cloudové prostředí s úlohami na:

  • Nativní Azure s využitím služeb IaaS nebo PaaS
  • Azure VMware Solution
  • Místní vSphere

Architektura

Centrum je služba Azure Virtual Network která funguje jako centrální bod připojení k místnímu a Azure VMware Solution privátního cloudu. Paprsky jsou virtuální sítě v partnerském vztahu s centrem, které umožňují komunikaci mezi virtuálními sítěmi.

Provoz mezi místním datovým centrem, Azure VMware Solution privátním cloudem a centrem prochází přes Azure ExpressRoute připojení. Paprskové virtuální sítě obvykle obsahují úlohy založené na IaaS, ale mohou mít služby PaaS, jako je App Service Environment, která má přímou integraci s Virtual Network nebo jinými službami PaaS s povolenými Azure Private Link paaS.

Důležité

Pro připojení k virtuální síti můžete použít existující bránu ExpressRoute Azure VMware Solution pokud nepřekračuje limit čtyř okruhů ExpressRoute na virtuální síť. Pokud ale chcete Azure VMware Solution z místního prostředí prostřednictvím ExpressRoute, musíte mít ExpressRoute Global Reach, protože brána ExpressRoute neposkytuje tranzitivní směrování mezi připojenými okruhy.

Diagram znázorňuje příklad nasazení centra a paprsku v Azure připojeného k místnímu prostředí a Azure VMware Solution přes ExpressRoute Global Reach.

Diagram znázorňující nasazení integrace Azure VMware Solution hubu a paprsku

Architektura má následující hlavní komponenty:

  • Místní lokality: Místní datacentra zákazníka připojená k Azure prostřednictvím připojení ExpressRoute.

  • Azure VMware Solution privátní cloud: Azure VMware Solution SDDC vytvořených jedním nebo více clustery vSphere, z nichž každý má maximálně 16 hostitelů.

  • Brána ExpressRoute: Umožňuje komunikaci mezi privátním Azure VMware Solution, sdílenými službami ve virtuální síti centra a úlohami běžící ve virtuálních sítích paprsků.

  • ExpressRoute Global Reach: Umožňuje připojení mezi místním prostředím a Azure VMware Solution privátním cloudem. Připojení mezi Azure VMware Solution a prostředky infrastruktury Azure je pouze Global Reach ExpressRoute. Kromě rychlé cesty ExpressRoute nemůžete vybrat žádnou možnost. ExpressRoute Direct se nepodporuje.

  • S2S VPN důležité informace: V Azure VMware Solution produkčních nasazeních se azure S2S VPN nepodporuje kvůli požadavkům na síť pro VMware HCX. Můžete ho ale použít pro nasazení PoC.

  • Centrální virtuální síť: Funguje jako ústřední bod připojení k místní síti a Azure VMware Solution cloudu.

  • Virtuální síť paprsku

    • Paprsky IaaS: Hostuje úlohy založené na Azure IaaS, včetně skupiny dostupnosti virtuálních počítačů a škálovací sady virtuálních počítačů, a odpovídajících síťových komponent.

    • Paprsková paaS: Hostuje služby Azure PaaS pomocí privátního adresování díky privátnímu koncovému bodu a Private Link.

  • Azure Firewall: Funguje jako centrální část pro segmentaci provozu mezi paprsky a Azure VMware Solution.

  • Application Gateway: Zpřístupňuje a chrání webové aplikace, které běží na Azure IaaS/PaaS nebo Azure VMware Solution virtuálních počítačích. Integruje se s dalšími službami, jako je API Management.

Aspekty sítě a zabezpečení

Připojení ExpressRoute umožňují tok provozu mezi místními, Azure VMware Solution a síťovými prostředky infrastruktury Azure. Azure VMware Solution připojení používá Global Reach ExpressRoute.

Vzhledem k tomu, že brána ExpressRoute neposkytuje tranzitivní směrování mezi připojenými okruhy, musí místní připojení také používat ExpressRoute Global Reach ke komunikaci mezi místním prostředím vSphere a Azure VMware Solution.

  • Místní prostředí pro Azure VMware Solution toku provozu

    Diagram znázorňující místní prostředí pro Azure VMware Solution toku provozu

  • Azure VMware Solution toku provozu virtuální sítě rozbočovače

    Diagram znázorňující tok Azure VMware Solution provozu virtuální sítě rozbočovače

Další informace o konceptech Azure VMware Solution a připojení najdete v dokumentaci Azure VMware Solution produktové dokumentaci.

Segmentace provozu

Azure Firewall je centrální část topologie centra a paprsku nasazená ve virtuální síti centra. Pomocí Azure Firewall nebo jiného síťového virtuálního zařízení (NVA) podporovaného Azure vytvořte pravidla provozu a segmentujte komunikaci mezi různými paprsky a Azure VMware Solution úlohami.

Vytvořte směrovací tabulky pro směrování provozu do Azure Firewall. Pro paprskové virtuální sítě vytvořte trasu, která nastaví výchozí trasu na interní rozhraní virtuální Azure Firewall. Když se tak úloha v Virtual Network potřebuje dostat do adresního prostoru Azure VMware Solution, brána firewall ho může vyhodnotit a použít odpovídající pravidlo provozu, které ho povolí nebo zamítá.

Snímek obrazovky zobrazující směrovací tabulky pro směrování provozu do Azure Firewall

Důležité

Trasa s předponou adresy 0.0.0.0/0 v nastavení GatewaySubnet se nepodporuje.

Nastavte trasy pro konkrétní sítě v odpovídající směrovací tabulce. Například trasy pro přístup k Azure VMware Solution správy úloh a předpon IP úloh z paprskových úloh a naopak.

Snímek obrazovky znázorňuje nastavené trasy pro konkrétní sítě v odpovídající směrovací tabulce

Druhá úroveň segmentace provozu pomocí skupin zabezpečení sítě v rámci paprsků a centra k vytvoření podrobnějších zásad provozu.

Poznámka

Provoz z místního prostředí do Azure VMware Solution: Provoz mezi místními úlohami, ať už založenými na vSphere nebo jinými, je povolený pomocí Global Reach, ale provoz nebude procházet Azure Firewall v centru. V tomto scénáři musíte implementovat mechanismy segmentace provozu, a to buď místně, nebo Azure VMware Solution.

Application Gateway

Azure Application Gateway V1 a V2 byly testovány s webovými aplikacemi, které běží Azure VMware Solution virtuálními počítači jako back-endový fond. Application Gateway je aktuálně jedinou podporovanou metodou pro vystavení webových aplikací běžících Azure VMware Solution virtuálních počítači na internetu. Může také bezpečně vystavit aplikace interním uživatelům.

Další informace najdete v článku Azure VMware Solution článku o Application Gateway .

Diagram znázorňující druhou úroveň segmentace provozu pomocí skupin zabezpečení sítě

Jump box a Azure Bastion

Přístup Azure VMware Solution prostředí pomocí jump boxu, což je virtuální počítač Windows 10 nebo Windows Server nasazený v podsíti sdílené služby v rámci virtuální sítě centra.

Důležité

Azure Bastion se služba doporučuje pro připojení k jump boxu, aby se zabránilo Azure VMware Solution na internetu. Pro připojení k Azure Bastion virtuálním Azure VMware Solution, protože to nejsou objekty Azure IaaS.

Osvědčeným postupem zabezpečení je nasadit Microsoft Azure Bastion ve virtuální síti centra. Azure Bastion poskytuje bezproblémový přístup RDP a SSH k virtuálním počítačům nasazenám v Azure bez poskytování veřejných IP adres těmto prostředkům. Po zřízení služby Azure Bastion můžete k vybranému virtuálnímu počítače přistupovat z Azure Portal. Po navázání připojení se otevře nová karta s plochou jump boxu a z této plochy můžete přistupovat k Azure VMware Solution privátního cloudu.

Důležité

Virtuálnímu počítače jump boxu neudáte veřejnou IP adresu ani nezpřístupňujete port 3389/TCP veřejnému internetu.

Diagram znázorňující virtuální Azure Bastion Hub

Azure DNS řešení

Pro Azure DNS řešení jsou k dispozici dvě možnosti:

  • Řadiče domény nasazené v centru (popsané v tématu Aspekty identit)použijte jako názvové servery.

  • Nasaďte a nakonfigurujte Azure DNS privátní zónu.

Nejlepší je zkombinovat obojí a zajistit tak spolehlivý překlad názvů pro Azure VMware Solution, místní prostředí i Azure.

Obecně doporučujeme použít existující DNS integrované se službou Active Directory nasazenou alespoň na dva virtuální počítače Azure ve virtuální síti centra a nakonfigurované v paprskových virtuálních sítích k použití těchto serverů Azure DNS v nastavení DNS.

Můžete použít Azure Privátní DNS, kde se zóna Azure Privátní DNS odkazuje na virtuální síť. Servery DNS se používají jako hybridní překladače s podmíněným předáváním do místního prostředí nebo Azure VMware Solution DNS s využitím infrastruktury azure Privátní DNS zákazníka.

Pokud chcete automaticky spravovat životní cyklus záznamů DNS pro virtuální počítače nasazené v rámci paprskových virtuálních sítí, povolte automatickou registraci. Pokud je tato možnost povolená, je maximální počet privátních zón DNS pouze jedna. Pokud je zakázané, maximální počet je 1 000.

Místní a Azure VMware Solution servery je možné nakonfigurovat s podmíněným předáváním pro překlad virtuálních počítače v Azure pro zónu Privátní DNS Azure.

Důležité informace o identitách

Pro účely identity je nejlepším přístupem nasazení alespoň jednoho řadiče domény v centru. Používejte dvě podsítě sdílených služeb v zónové distribuci nebo ve skupině dostupnosti virtuálního počítače. Další informace o rozšíření domény místní Active Directory (AD) do Azure najdete v tématu Cetrum architektury Azure.

Kromě toho nasaďte další řadič domény na Azure VMware Solution, aby v prostředí vSphere vystupl jako identita a zdroj DNS.

Doporučeným osvědčeným postupem je integrovat doménu AD s Azure Active Directory.